Ulkoistaminen ja

henkilötiedot

Titta Penttilä

Senior Security Manager, Information Security

Corporate Security, TeliaSonera

28.11.2012, Tietoturva 2013

fi.linkedin.com/in/tpenttila

titta.penttila@teliasonera.com

Sisältö

• Käsitteet tutuiksi

• Millä edellytyksillä henkilötietoja voi

siirtää ulkoistuskumppanille?

• Tietosuojalainsäädännön

huomioiminen ulkoistamisprosessin

eri vaiheissa

• Lukuvinkkejä

2012-11-28 Tietoturva 2013 / Titta Penttilä 2

Käsitteet tutuiksi – hieman yksinkertaistaen

2012-11-28 Tietoturva 2013 / Titta Penttilä 3

Henkilötieto • Tiedot, jotka voidaan yhdistää henkilöön tai hänen perheeseensä

(pidempi määritelmä 26 sivua ks. Working party opinion 4/2007 )

Käsittely • Kaikki mahdolliset toimenpiteet, jotka voivat kohdistua

henkilötietoihin

Henkilörekisteri • Joukko henkilötietoja joita käytetään samaan tarkoitukseen

(huom! Käyttötarkoitus ratkaisee eli tiedot voivat sijaita eri

järjestelmissä)

Rekisterinpitäjä (”controller”) • ”rekisterin omistaja”, jonka käyttöä varten henkilörekisteri

perustetaan ja jolla on oikeus määrätä henkilörekisterin käytöstä

tai jonka tehtäväksi rekisterinpito on lailla säädetty

Käsittelijä (“processor”) • taho, joka käsittelee henkilötietoja rekisterinpitäjän lukuun

Henkilötietojen siirto vai luovutus?

Siirto Luovutus

Rekisterinpitäjä -> Käsittelijä

Kyse on siirrosta, vaikka henkilötiedot eivät

siirry fyysisesti käsittelijälle, jos tiedot ovat

käsittelijän saatavilla (esim. etäyhteys).

Rekisterinpitäjä -> Rekisterinpitäjä

Rekisterinpitäjä säilyy edelleen

rekisterinpitäjänä ja vastuullisena.

Rekisterinpitäjän oikeudet siirtyvät

uudelle rekisterinpitäjälle.

Käsittelijällä ei ole itsenäistä oikeutta

henkilötietojen käsittelyyn, vaan se toimii aina

rekisterinpitäjän toimeksiannosta tämän

lukuun ja tämän ohjeiden mukaan.

Luovutuksen saajalla on

itsenäinen oikeus käsitellä

henkilötietoja.

Lähtökohtaisesti ei edellytä rekisteröidyn

suostumusta.

Vaatii usein rekisteröidyn

suostumuksen.

Esim. alihankinta- ja ulkoistustilanteet Esim. liiketoimintasiirto

2012-11-28 Tietoturva 2013 / Titta Penttilä 4

Henkilötietojen siirtämisen edellytykset

2012-11-28 Tietoturva 2013 / Titta Penttilä 5

HENKILÖTIETOJEN KÄSITTELYN LAILLISUUS • Yleiset edellytykset: esim. asiakkassuhde, työsuhde, suostumus…

• Periaatteet: suunnittelu-/huolellisuusvelvollisuus, tarpeellisuus, virheettömyysja avoimuus,

tietoturvallisuus, luottamuksellisuus…

• Käyttötarkoitussidonnaisuus

Suomi, EU ja ETA-maat

(& Komission hyväksymät maat)

Muut maat

Yhtenäinen säädöstausta (EU

tietosuojadirektiivi) ja henkilötietojen

vapaa liikkuvuus

Tietosuojan taso vaihtelee, joten

vaaditaan erityisiä takeita

“Data transfer agreement” (DTA)

• HtietoL: “annettava asianmukaiset

selvitykset ja sitoumukset”

Etenemisvaihtoehdot:

• Komission vakiosopimuslausekkeet

• Erityiset poikkeusperusteet

• Itsearviointi

RIITTÄVÄ TIETOSUOJAN TASO

JA

Henkilötietojen siirto

2012-11-28 Tietoturva 2013 / Titta Penttilä 6

HENKILÖREKISTERI

käyttötarkoituksensa vuoksi

yhteenkuuluva tietojoukko

REKISTERI-

SELOSTE

Henkilötietoja

Ulkoistaja Oy Kumppani Oy

Rekisterinpitäjä; vastaa viimekädessä käsittelyn

lainmukaisuudesta.

Käsittelijä; käsittelee henkilötietoja

rekisterinpitäjän lukuun ja tämän

ohjeiden mukaan.

fyysinen siirto

Käsittelyn suunnittelu

Henkilötietoja Henkilötietoja

Käsittelyn rajat

SOPIMUS

&

OHJEET

Lähtökohtaisesti sovelletaan rekisterinpitäjän maan lakia.

Ulkoistamisprosessin vaiheet

2012-11-28 Tietoturva 2013 / Titta Penttilä 7

Suunnittelu Toteutus Toiminta Exit

Ulkoistaminen

Kertaluonteinen tapahtuma,

jossa ulkoistamisen kohde

siirretään kumppanille

Ulkoistamisen tapahduttua

jatkuu palveluiden ostaminen

partnerilta.

Regulaatio Sisäiset

ohjeet

Asiakas-

vaateet

Riskinotto-

halukkuus

Palvelun ostaminen

Suunnitteluvaihe osa 1: “Business case”

• Mitä tietoja ollaan siirtämässä kumppanille?

– henkilötiedot, tunnistamistiedot jne.

• Mihin maahan tietoja ollaan siirtämässä?

• Mitä vaatimuksia kyseisten tietojen

siirtämiseen ja käsittelyyn liittyy?

– Lait, rekisteriseloste, sisäiset ohjeet/prosessit ja mahdolliset asiakasvaateet

• Mikä on kyseisten tietojen merkitys yhtiön

kannalta?

– “business impact assessment”

• Mitä uhkia ja riskejä tietojen siirtoon liittyy ja

mitä keinoja on riskien pienentämiseen ?

2012-11-28 Tietoturva 2013 / Titta Penttilä 8

Juridisia esteitä on harvoin - tärkeää onkin miettiä, onko

ulkoistaminen liiketoiminnan kannalta kokonaisuutena järkevää!

Suunnitteluvaihe osa 2: Ulkoistuskumppanin valinta ja sopimus

• Vaatimukset tarjouspyynnön liitteeksi

• Ehdokkaiden tietosuojan tason todentaminen – Itsearviointi esim. ISF Security health check

– Sertifikaatit esim. ISO 27001

– Auditointi

• Henkilötietojen käsittelyä koskevat vaatimukset osaksi

sopimusta mm. – Salassapitolausekkeet

– “Data transfer agreement” (EU/ETA:n sisällä)

– Mm. oikeus käsitellä tietoja vain rekisterinpitäjän ohjeiden mukaan, noudatettava soveltuvaa lainsäädäntöä ja varmistettava tarpeelliset tekniset ja organisatoriset toimenpiteet henkilötietojen suojaamiseksi

– Komission vakiosopimuslausekkeet (jos siirto EU/ETA:n ulkopuolelle)

– Yhteiset prosessit / toimintamallit

– Alihankkijoiden käyttäminen

– Sanktiot esim. sopimussakko

– Sopimuksen päättymisen seuraukset

2012-11-28 Tietoturva 2013 / Titta Penttilä 9

Toteutus, toiminta ja exit

• Toteutusvaihe

– Tavoitteena on, että ulkoistettavat toiminnot siirretään saumattomasti kumppanille

– Kumppanin henkilöstön koulutus

– Tietojen turvallinen siirtäminen ja käyttöoikeuksien hallinta

• Toimintavaihe

– Toiminnot on siirretty kumppanille ja kumppani tarjoaa sopimuksenmukaista palvelua ulkoistaneelle yritykselle sopimuksen voimassaoloajan

– Raportointi, auditointi, muutosten huomiointi

• Exit – sopimuksen päättyminen

– Huomioitava jo sopimuksen tekovaiheessa

– Varmistuttava tietojen asianmukaisesta siirtämisestä / tuhoamisesta

2012-11-28 Tietoturva 2013 / Titta Penttilä 10

Onnistumisen ainekset

• Ymmärretään henkilötietojen tärkeys

ja rekisterinpitäjän vastuu – Vastuuta ei voi ulkoistaa

– Tietosuojan merkitys korostuu nyky-yhteiskunnassa ja ihmisten tietoisuus lisääntyy nopeasti

– Juridisia sanktioita suurempi riski on, asiakkaiden luottamuksen menettäminen

• Valmistautumiseen ja selvityksiin

varataan riittävästi aikaa ja

resursseja – Lainsäädännön asettamien vaatimusten

selvittäminen

– Riskien arviointi

– Kumppanin valinta ja kattava sopimus

• Tietosuoja ja –turva varmistetaan

koko ulkoistamisen elinkaaren ajan

2012-11-28 Tietoturva 2013 / Titta Penttilä 11

• Henkilötiedon käsite:

– Data Protection Working party opinion 4/2007 the concept of personal data WP 136 (http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2007/wp136_en.pdf)

• Ulkoistaminen ja henkilötiedot

– Data Protection Working party opinion 05/2012 on Cloud Computing (http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf)

– Tietosuojavaltuutetun toimisto: Henkilötietojen siirto ulkomaille henkilötietolain mukaan (http://www.tietosuoja.fi/uploads/7nr20lwabx4vu.pdf)

– Tietosuojavaltuutetun toimisto: henkilötietojen käsittelyn ulkoistaminen, yhteiset tietojärjestelmät, verkottuminen ja niihin liittyvät sopimukset

(http://www.tietosuoja.fi/uploads/fqfq98_1.pdf)

2012-11-28 Tietoturva 2013 / Titta Penttilä 12

Lukuvinkkejä

sonera_security

twitter.com/sonera_security

KYSYMYKSIÄ? KOMMENTTEJA?

• Esitys perustuu AaltoPro:n 7. Tietoturvallisuuden koulutusohjelmaan laatimaani tutkielmaan:

“Outsourcing and Transfer of Personal Data”

• Voit ladata sen osoitteessa:

www.slideshare.net/sonera

KIITOS!

2012-11-28 Tietoturva 2013 / Titta Penttilä 13